Telefon

+49 (0)421.2 38 04-60

E-Mail

datasec@merentis.com

Der AI-Act ist der weltweit erste umfassende Rechtsrahmen für den Einsatz von KI. Die EU nimmt hierdurch, wie schon bei der Einführung der DSGVO, eine Vorreiterrolle ein. Die Verordnung soll bereits Mitte 2024 in Kraft treten.

Doch für wen gilt der AI-Act überhaupt?

Der AI-Act, auch KI-Verordnung genannt, gilt für alle Anbieter, die KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen. Dies gilt auch für Anbieter aus Drittländern, wenn die KI in der EU eingesetzt wird. Unter den Begriff Anbieter fallen hierbei alle Personen, auch juristischen Personen, Behörden oder sonstige Einrichtungen, die KI-Systeme entwickeln bzw. entwickeln lassen und auf den Markt bringen. Somit unterliegen auch Importeure, Händler und Betreiber von KI-Systemen dem AI-Act.

 

Wie definiert der AI-Act KI-Systeme?

Als Grundlage dient die Definition der OECD für KI. Ein KI-System ist demnach ein maschinengestütztes System,

  • das für ein unterschiedliches Maß an autonomen Betrieb ausgelegt ist,
  • das anpassungsfähig, also „lernfähig“, sein kann und
  • das aus den Eingaben Ergebnisse produziert, die die virtuelle oder physische Umwelt beeinflussen können.

Hierbei teilt der AI-Act die KI-Systeme in verschiedene Risikoklassen mit spezifischen Anforderungen ein. KI-Systeme, die unter keine der Risikoklassen fallen, liegen nicht im Anwendungsbereich des AI-Acts. Auch die Nutzung von KI zu rein privaten Zwecken fällt nicht in den Anwendungsbereich der Verordnung.

 

Welche Risikoklassen gibt es?

Der AI-Act definiert vier verschiedene Risikoklassen:

  • Inakzeptables Risiko
  • Hohes Risiko
  • Begrenztes Risiko
  • Niedriges Risiko

Je höher das potenzielle Risiko, desto umfangreicher sind die Anforderungen und Auflagen in Bezug auf die Nutzung des KI-Systems. Anbieter und Nutzer müssen beispielsweise zusätzliche Risikobewertungen vornehmen, haben eine erhöhte Dokumentationspflicht oder müssen Konformitätsbewertungen durchführen und im Anschluss eine Konformitätserklärung abgeben.

KI-Systeme, die in die Risikoklasse „Inakzeptables Risiko“ fallen, sollen gänzlich verboten werden, da ein erhebliches Potenzial zur Verletzung von Menschenrechten besteht. Hierzu zählen Anwendungen, die zum Beispiel die Schwächen von Personengruppen aufgrund von Alter, körperlichen oder geistigen Beeinträchtigungen ausnutzen oder bewusst beeinflussen. Aber auch Anwendungen, die eine biometrische Identifizierung von Menschen in öffentlich zugänglichen Räumen in Echtzeit aus der Ferne heraus erlauben, sollen verboten werden.

 

Was bedeutet der AI-Act für Anwendungen wie ChatGPT?

KI-Systeme wie ChatGPT stellen als sogenannte „General Purpose AI“, kurz GPAI, einen Sonderfall dar. Zu den GPAI zählen KI-Anwendungen, die eine erhebliche allgemeine Verwendbarkeit aufweisen, bereits ein breites Aufgabenspektrum erfüllen und die bereits in diverse nachgelagerte Systeme und Anwendungen integriert werden können.

Der AI-Act sieht für diese GPAI-Systeme eine abgestufte Risikoklassifizierung vor. Hierbei unterscheidet die Verordnung zwischen regulären, frei und offen lizenzierten GPAI-Modellen sowie solchen mit systemischen Risiken. Ein KI-System weist systemische Risiken auf, wenn es eine bestimmte technische Schwelle an Rechenleistung erreicht oder absehbare negative Folgen hat, zum Beispiel für die öffentliche Gesundheit, Sicherheit oder die Grundrechte. Je nach Einordnung müssen zusätzliche Maßnahmen getroffen und zum Beispiel weitere Risikoanalysen und Bewertungen vorgenommen werden.

 

Welche Strafen drohen bei Verstößen?

Die Strafen bei Verstößen sind erheblich: Bei Nichteinhaltung des Verbotes eines KI-Systems (Art. 5) oder bei Nichtkonformität mit den definierten Anforderungen (Art. 10) drohen Geldstrafen von bis zu 35 Mio. Euro oder von bis zu 7% des gesamten weltweiten Jahresumsatzes.Bei Verstoß gegen sonstige im AI-Act definierte Anforderungen und Verpflichtungen ist mit Geldbußen von bis zu 15 Mio. Euro oder von bis zu 3% des gesamten weltweiten Jahresumsatzes zu rechnen. Auch die Angabe von falschen, unvollständigen oder irreführenden Informationen kann mit Bußgeldern in Höhe von 7,5 Mio. Euro oder von bis zu 1,5% des gesamten weltweiten Jahresumsatzes geahndet werden.